《Linux操作系統(tǒng)基礎(chǔ)》課件-項目四 Linux用戶和組群管理

項目四Linux用戶和組群管理能力目標(biāo)和要求：

（1）理解用戶賬戶和組群概念。

（2）理解用戶和組群配置文件的含義。

（3）掌握用戶管理器的使用方法。

（4）重點掌握如何使用命令對用戶和組群進(jìn)行管理。

（5）掌握用戶身份的切換項目四Linux用戶和組群管理項目四

思維導(dǎo)圖任務(wù)4.1用戶賬戶和組群概念用戶賬戶：

（1）Linux操作系統(tǒng)是多用戶多任務(wù)的操作系統(tǒng)，即可以多個用戶同時使用系統(tǒng)資源進(jìn)行相關(guān)任務(wù)

（2）用戶賬戶就是用戶的身份標(biāo)識，用戶通過用戶賬戶登錄到系統(tǒng)，并且訪問已經(jīng)被授權(quán)的資源。

（3）一個UID是唯一標(biāo)識一個系統(tǒng)用戶的賬號。表4-1用戶角色分類用戶角色UID描述超級用戶0默認(rèn)是root用戶，其UID和GID均為0。在每臺Linux操作系統(tǒng)中都是唯一且真實存在的，擁有最高的管理權(quán)限，可以操作系統(tǒng)中任何文件和命令。在生產(chǎn)環(huán)境，一般禁止root賬號遠(yuǎn)程登錄（SSH）連接服務(wù)器，以加強系統(tǒng)安全。系統(tǒng)用戶1-999與真實用戶區(qū)分開來，是系統(tǒng)安裝后默認(rèn)存在，且默認(rèn)情況不能登錄系統(tǒng)，它們是系統(tǒng)正常運行必不可少的，他們的存在主要是方便系統(tǒng)管理，滿足相應(yīng)的系統(tǒng)進(jìn)程都文件屬主的要求。其中1-200由系統(tǒng)靜態(tài)分配給進(jìn)程使用，201-999由系統(tǒng)動態(tài)分配進(jìn)程使用。普通用戶1000-65535由具備系統(tǒng)管理員（root）權(quán)限的用戶創(chuàng)建。UID可由管理員指定，如果不指定，用戶的UID默認(rèn)從1000開始順序編號。任務(wù)4.1用戶賬戶和組群概念組群概念：

（1）組群（也稱用戶組）就是具有相同特性的用戶集合，把多個用戶加入同一個組群中，我們只需要對組群賦予權(quán)限，組群中的用戶成員即可自動獲得這種權(quán)限。

（2）組群分兩種類別：基本組（私有組）和附加組（公共組）。

（3）創(chuàng)建用戶賬戶的同時也會創(chuàng)建一個與用戶同名的組群，該組群就是用戶的基本組。每個用戶都有自己的且僅有一個基本組。

（4）用戶和用戶組的對應(yīng)關(guān)系有：一對一、一對多、多對一和多對多。表4-2用戶和用戶組的對應(yīng)關(guān)系用戶和組關(guān)系描述一對一即一個用戶可以存在一個組中，也可以是組中的唯一成員。比如，root。一對多即一個用戶可以存在多個組中，這個用戶就具有這些組的所有權(quán)限。多對一即多個用戶可以存在一個組中，這些用戶就具有這一個組的共同權(quán)限。多對多即多用戶可以存在于多個組中，并且?guī)讉€用戶可以歸屬相同的組。多對多的關(guān)系是前面三條的擴展。任務(wù)4.2用戶賬戶和組群配置文件4.2.1用戶的賬戶文件

用戶的賬戶信息（除了密碼之外）存放在/etc/passwd配置文件中。配置文件中每行定義一個用戶賬號，有多少行就表示有多少個賬號，在每一行中，各內(nèi)容之間通過“:”符號劃分為7個字段，這7個字段分別定義了賬號的不同屬性。表4-3passwd字段含義序號字段名稱注釋說明1用戶名用戶登陸時使用的賬戶名稱，在系統(tǒng)中是唯一的，不能重名。2密碼占位符存放賬戶口令，以x占位，表示密碼保存在/etc/shadow中。3用戶標(biāo)識UID用戶標(biāo)識號。4用戶基本組GID組標(biāo)識號。當(dāng)添加用戶時，默認(rèn)情況下會同時建立一個與用戶同名且UID和GID相同的組。5用戶注釋對賬戶的詳細(xì)說明。6用戶家目錄用戶家目錄，用戶登記首先進(jìn)入的目錄。root用戶家目錄是/root，普通用戶的家目錄在/home/username,可自定義。7用戶登陸shell當(dāng)前用戶登陸后所使用的shell，在CentOS/RHEL系統(tǒng)中，默認(rèn)的shell是bashshell。任務(wù)4.2用戶賬戶和組群配置文件4.2.2用戶的口令文件

用戶經(jīng)過加密之后的口令都存放在/etc/shadow文件上。/etc/shadow文件只對root用戶可讀，因面大提升了系統(tǒng)的安全性。 shadow文件保存投影加密之后的口令以及與口令相關(guān)的一系列信息，每個用戶的信息在shadow文件中占用一行，并且用“：”分隔為9個字段。表4-4shadow文件字段說明序號字段名稱注釋說明1用戶登錄名用戶的賬戶名稱（與/etc/passwd保持一致）2加密后的密碼用戶密碼，這是加密過的口令（未設(shè)置密碼表示為！?。?最后一次密碼更改時間從1970年1月1日到上次修改密碼的天數(shù)4密碼最少使用天數(shù)密碼最少使用多少天才可以更改密碼，即最短口令存活期。默認(rèn)值為0，表示無限制。5密碼最長使用天數(shù)密碼使用多少天必須修改密碼，即最長口令存活期。默認(rèn)值為99999，表示密碼永不過期。6密碼到期前警告天數(shù)密碼過期前多少天提醒用戶更改密碼（默認(rèn)過期提前7天警告）7密碼到期后保持活動的天數(shù)密碼過期之后賬戶寬限的天數(shù)，指定天數(shù)過后，賬戶被鎖定。8賬戶到期時間口令被禁用日期，到期后失效。默認(rèn)值為空，表示一直有效。計算方法為從1970年1月1日至禁用日期時的天數(shù)9標(biāo)志保留字段，用于功能擴展任務(wù)4.2用戶賬戶和組群配置文件4.2.3創(chuàng)建用戶賬戶時相關(guān)的配置文件和目錄

（1）/etc/skel目錄 /etc/skel目錄是用來存放新用戶配置文件的目錄，當(dāng)我們用useradd命令添加新用戶時，Linux系統(tǒng)會自動復(fù)制/etc/skel下的所有文件（包括隱藏文件）到新添加用戶的家目錄；默認(rèn)情況下/etc/skel目錄下的所有文件都是隱藏文件（以“．”開頭）。通過修改、添加、刪除/etc/skel目錄下的文件，我們可為新創(chuàng)建的用戶提供統(tǒng)一、標(biāo)準(zhǔn)的、初始化用戶環(huán)境。 （2）/etc/login.defs配置文件 /etc/login.defs文件是用來定義創(chuàng)建用戶時需要的一些用戶的配置文件。如創(chuàng)建用戶時，是否需要家目錄，UID和GID的范圍，用戶及密碼的有效期限等等。 （3）/etc/default/useradd配置文件 /etc/default/useradd配置文件也是在使用useradd添加用戶時需要調(diào)用的一個默認(rèn)的配置文件。任務(wù)4.2用戶賬戶和組群配置文件4.2.4/etc/group文件

/etc/group文件用于存放用戶的組賬戶信息，對于該文件的內(nèi)容任何用戶都可以讀取。每個組賬戶在group文件中占用一行，并且用“：”分隔為4個字段。表4-5group文件字段說明序號字段名稱注釋說明1組群名稱用戶組的名稱，與/etc/passwd中的用戶名一致，組名也不能重復(fù)。2組群口令口令占位符，以“x”表示。加密后的組密碼默認(rèn)保存在/etc/gshadow文件中。3GID組群的ID號，Linux系統(tǒng)就是通過GID來區(qū)分用戶組的，與/etc/passwd文件中第4個字段的GID相對應(yīng)。4組群成員列表組群包含的用戶，各用戶之間使用“,”分隔。任務(wù)4.2用戶賬戶和組群配置文件4.2.5/etc/gshadow文件

/etc/gshadow文件用于存放組群的加密口令、組管理員等信息，該文件只有root用戶可以讀取。每個組群賬戶在gshadow文件中占用一行，并以“：”分隔為4個字段。表4-6gshadow文件字段說明序號字段名稱注釋說明1組群名稱與/etc/group文件中的組名相對應(yīng)2加密后的組群口令對于大多數(shù)用戶來說，通常不設(shè)置組密碼，因此該字段常為空，但有時為“!”，指的是該群組沒有組密碼，也不設(shè)有群組管理員。3組群管理員擁有將用戶加入組群權(quán)限的用戶4組群成員列表用戶組中有哪些附加用戶，和/etc/group文件中附加組顯示內(nèi)容相同。任務(wù)4.3圖形界面用戶管理器4.3.1安裝system-config-users工具

（1）檢查是否安裝system-config-users。 [root@centos7~]#rpm-qa|grepsystem-config-users

（2）使用YUM命令安裝system-config-users工具。配置虛擬機CD/DVD光驅(qū)連接形式為：使用ISO映像文件使用mount命令掛載ISO安裝鏡像到指定目錄使用vim創(chuàng)建YUM本地源文件使用yum命令查看system-config-users軟件包的信息使用yum命令安裝system-config-users管理工具。所有軟件包安裝完畢后，可以使用rpm命令再一次進(jìn)行查詢?nèi)蝿?wù)4.3圖形界面用戶管理器4.3.2使用用戶管理器

在終端下輸入命令：system-config-users將會打開如圖4-3所示的“用戶管理器”。圖4-3用戶管理器任務(wù)4.3圖形界面用戶管理器4.3.2使用用戶管理器

1.設(shè)置首選項 選擇【編輯】【首選項】菜單，可以對【首選項】進(jìn)行設(shè)置，包括是否隱藏系統(tǒng)用戶和對新建用戶自動分配UID和GID號。任務(wù)4.3圖形界面用戶管理器4.3.2使用用戶管理器

2.添加用戶

單擊工具欄“添加用戶”按鈕，將彈出“添加新用戶”對話框，根據(jù)對話框提示輸入相應(yīng)內(nèi)容，最后單擊“確定”按鈕添加新用戶。任務(wù)4.3圖形界面用戶管理器4.3.2使用用戶管理器

3.用戶屬性

選擇相應(yīng)的用戶，然后單擊工具欄“屬性”按鈕，將彈出“用戶屬性”對話框，我們可以修改用戶信息、設(shè)置賬號過期日期、設(shè)置密碼信息、添加附加組等內(nèi)容。任務(wù)4.3圖形界面用戶管理器4.3.2使用用戶管理器

4.刪除用戶

在用戶管理器中，選擇對應(yīng)的用戶，單擊“刪除”按鈕，將彈出刪除確認(rèn)對話框，勾選“刪除用戶的主目錄”，則在刪除用戶時將該用戶的家目錄及郵件目錄等內(nèi)容一并刪除。任務(wù)4.3圖形界面用戶管理器4.3.2使用用戶管理器

6.更改及添加組群用戶

選擇組群標(biāo)簽，選擇需要設(shè)置的組群單擊“屬性”按鈕，將彈出“組群屬性”對話框，在組群數(shù)據(jù)標(biāo)簽中可以更改組群名稱，在組群用戶標(biāo)簽中勾選對應(yīng)的用戶向該組群中添加用戶。任務(wù)4.4使用命令管理用戶賬戶4.4.1新建用戶

命令格式：useradd或adduser[選項]用戶名

命令功能：useradd或adduser命令用來建立用戶賬號和創(chuàng)建用戶的家目錄，使用權(quán)限是超級用戶。表4-7useradd或adduser常用選項選項功能-p設(shè)置用戶密碼。注意：-p后面需要輸入的密碼是加密過的密碼。-u指定用戶提UID號。該值在系統(tǒng)中必須是唯一的。CentOS7版本之后，0~999默認(rèn)是保留給系統(tǒng)用戶賬號使用的，所以該值必須大于999。-g指定用戶所屬的基本組，該值可以使組名也可以是GID號，并且該用戶組必須已經(jīng)存在的。如果不指定，則系統(tǒng)會創(chuàng)建跟用戶名相同的基本組。-G指定用戶所屬的附加組。附加組事先必須先存在。-c加上備注文字，備注文字保存在passwd的備注欄中。-d指定用戶登入時的主目錄，替換系統(tǒng)默認(rèn)值/home/<用戶名>-s指定用戶登入后所使用的shell。默認(rèn)值為/bin/bash。-e指定賬號的失效日期，日期格式為YYYY-MM-DD，例如2020-04-28。缺省表示永久有效。-f指定在密碼過期后多少天即關(guān)閉該賬號。如果為0賬號立即被停用；如果為-1則賬號一直可用。默認(rèn)值為-1.-m若用戶主目錄不存在則創(chuàng)建它-M不要自動建立用戶的主目錄。-n取消建立以用戶名稱為名的基本組。-r創(chuàng)建UID小于1000的不帶主目錄的系統(tǒng)賬號任務(wù)4.4使用命令管理用戶賬戶4.4.2設(shè)置用戶密碼

命令格式：passwd[選項][用戶名]

命令功能：用于指定和修改用戶密碼。超級用戶可以為自己和其他用戶設(shè)置密碼，而普通用戶只能為自己設(shè)置密碼。表4-8passwd常用選項選項功能-S查詢用戶密碼的狀態(tài)，也就是/etc/shadow文件中此用戶密碼的內(nèi)容。僅root用戶可用。-l暫時鎖定用戶，禁止登錄。該選項會在/etc/shadow文件中指定用戶的加密口令前添加“!!”，使密碼失效。僅root用戶可用。-u解鎖用戶，和“-l”選項相對應(yīng)，僅root用戶可用。-n天數(shù)設(shè)置用戶密碼的最短存活期，為零代表任何時候都可以更改密碼，對應(yīng)/etc/shadow文件的第4個字段。-x天數(shù)設(shè)置用戶口令的最長存活期，對應(yīng)/etc/shadow文件的第5個字段。-w天數(shù)設(shè)置用戶密碼過期前的警告天數(shù)，對應(yīng)/etc/shadow文件的第6個字段。-i天數(shù)設(shè)置用戶口令失效后，多少天停用賬戶，對應(yīng)/etc/shadow文件的第7個字段。–stdin可以將通過管道符輸出的數(shù)據(jù)作為用戶的密碼。主要在批量添加用戶時使用。任務(wù)4.4使用命令管理用戶賬戶4.4.3修改用戶密碼有效期限

命令格式：chage[選項]用戶名

命令功能：用于指定和修改用戶口令。超級用戶可以為自己和其他用戶設(shè)置口令，而普通用戶只能為自己設(shè)置口令。表4-9chage常用選項選項功能-d指定密碼最后修改日期，對應(yīng)/etc/shadow文件的第3個字段。-m天數(shù)設(shè)置用戶密碼的最短存活期，為零代表任何時候都可以更改密碼，對應(yīng)/etc/shadow文件的第4個字段。-M天數(shù)設(shè)置用戶口令的最長存活期，對應(yīng)/etc/shadow文件的第5個字段。-W天數(shù)設(shè)置用戶密碼過期前的警告天數(shù)，對應(yīng)/etc/shadow文件的第6個字段。-I天數(shù)設(shè)置用戶口令失效后，多少天停用賬戶，對應(yīng)/etc/shadow文件的第7個字段。（I為i的大寫字母），0表示馬上過期，-1表示永不過期（默認(rèn)值）-E日期密碼到期的日期，過了這天，此賬號將不可用。日期格式為YYYY-MM-DD。-l列出用戶以及密碼的有效期（l為L的小寫字母）-h顯示幫助信息并退出任務(wù)4.4使用命令管理用戶賬戶4.4.4修改用戶賬戶屬性

命令格式：usermod[選項]用戶名

命令功能：用于修改用戶賬戶的各項屬性。表4-10usermod常用選項選項功能-a把用戶追加到某些組中，僅與-G選項一起使用-c填寫用戶賬戶的備注信息，對應(yīng)/etc/passwd文件的第5字段-d修改用戶的家目錄，通常和-m選項一起使用-m將家目錄內(nèi)容移至新位置（僅與-d選項一起使用）-e密碼到期的日期，過了這天，此賬號將不可用。日期格式為YYYY-MM-DD。-f設(shè)置用戶口令失效后，多少天停用賬戶，對應(yīng)/etc/shadow文件的第7個字段。0表示馬上過期，-1表示永不過期（默認(rèn)值）-u修改用戶的UID值，該UID值必須唯一-g修改用戶的GID值，修改的用戶組一定存在-G變更用戶附加組，或與-a選項一起使用，把用戶追加到其他附加組中-l修改用戶的登錄名稱-s修改用戶的登錄Shell-L鎖定用戶的密碼，禁止用戶登錄。-U解鎖用戶的密碼任務(wù)4.4使用命令管理用戶賬戶4.4.5禁止和恢復(fù)用戶賬戶

有時需要臨時禁用一個用戶賬戶而不刪除它，可以通過passwd命令、usermod命令和修改/etc/shadow文件三種方法來實現(xiàn)。

（1）使用passwd命令

[root@centos7~]#passwd-luser05

[root@centos7~]#passwd-uuser05

（2）使用usermod命令 [root@centos7~]#usermod-Luser05 [root@centos7~]#usermod-Uuser05

（3）直接修改/etc/shadow文件

通過以上操作可知，我們也可以直接在/etc/shadow文件中用戶所對應(yīng)的行的加密口令前添加“!!”、“!”符號，以達(dá)到禁用用戶賬戶的目的，在需要恢復(fù)時只要刪除對應(yīng)的符號即可。

（4）禁止用戶登錄

如果只是禁止用戶登錄而不是禁用用戶，則可以把其登錄Shell更改為/sbin/nologin即可。任務(wù)4.4使用命令管理用戶賬戶4.4.6刪除用戶賬戶

命令格式：userdel[選項]用戶名

命令功能：用于刪除給定的用戶，以及與用戶相關(guān)的文件。若不加選項，則僅刪除用戶賬號，而不刪除相關(guān)文件。

表4-11userdel常用選項選項功能-r刪除用戶的同時，刪除與用戶相關(guān)的所有文件。-f強制刪除用戶，即使用戶當(dāng)前已登錄；任務(wù)4.5管理組群4.5.1新建組群

命令格式：groupadd[選項]組名

命令功能：用于創(chuàng)建新的組群。

表4-12userdel常用選項選項功能-g指定用戶組的GID值，該值必須唯一。任務(wù)4.5管理組群4.5.2修改用戶組

命令格式：groupmod[選項]組名

命令功能：用于修改用戶組的相關(guān)信息。

表4-12groupmod常用選項選項功能-g修改用戶組的GID值-n修改用戶組的組名任務(wù)4.5管理組群4.5.3添加/刪除組用戶

命令格式：gpasswd[選項][用戶名][組名]

命令功能：用于修改用戶組的相關(guān)信息。

表4-13gpasswd常用選項選項功能